عرض المهندس فيلكس كراوسه (Felix Krause) طريقة جديدة لسرقة البيانات من مستخدمي يوس (iOS) باستخدام التصيد الاحتيالي (الفيشينغ).
تفيد يوميات أوراسيا أستناداً إلى Lenta.ru أن المهندس كتب في صفحته أنه هكذا يمكن للمهاجمين سرقة كلمة المرور من معرف أبل (Apple ID) والوصول إلى الحساب.
وأوضح كراوسه أن فنيي المرفقات يمكن أن يفتحوا النافذة الخاصة التي تظهر عادة في دائرة الرقابة الداخلية (iOS) عند إدخال كلمة مرور. وأنه يظهر أثناء عمليات الشراء على الجهاز أو عند الوصول إلى الإكلود ومركز الألعاب(iCloud و Game Center).
بفضل إمكانية ظهور مجال النظام لإدخال البيانات داخل المرفقات أيضا، يستخدمها المهاجمون لسرقة البيانات. وبالإضافة إلى ذلك، توفر وثائق الأبل نماذج تصميم مثل هذه النوافذ، والتي تمكن لأي مصمم من تنسيخه وتضمينه في التصميم الخاص له بالبساطة.
كما يقول كراوسه: "لقد قررت عدم فتح مصدر الإخطار المنبثقة، ولكن يرجى الاخذ بالاعتبار أن هذا عبارة عن أقل من 30 سطور من التعليمات البرمجية وتقريباً يتمكن أي مهندس لدائرة الرقابة الداخلية ي من فتح نافذة التصيد الخاصة له بسهولة.
بالنسبة للمستخدم العادي، تبدو هذه النافذة مثل نافذة النظام تماماً. ويشير كراوسه إلى أنه لا يمكن تمييزها إلا بأجزاء بسيطة، مثل استخدام نوع مختلف من علامات الاقتباس.
وكإجراء احترازي، يقترح ترك المرفقات بمجرد ظهور طلب إدخال كلمة المرور من الحساب. إذا تم إغلاق تحذير مع ذلك، أنها كانت نافذة وهمية، وإذا أنها لم تحف، فهذا في إطار النظام. كما يتم تشجيع المستخدمين على تمكين المصادقة الثنائية. في هذه الحالة، حتى لو كان المهاجمون تعلم كلمة المرور، فإنها لن تكون قادرة على الوصول إلى الحساب.
وأضاف كراوسه أن هذا النقص موجود منذ فترة طويلة، ولم تتخذ أبل أي إجراء لإزالته. كحل، يقترح علامات الإخطارات من المرفقات بحيث يمكن للمستخدم تمييز نافذة التصيد لإدخال كلمة مرور بدقة.